Добавление атрибута хоста в JWT для защиты запросов от определенных хостов?

У меня есть идея вручную сгенерировать токен JWT, который содержит запрашивающий хост в качестве параметра. Подписанный JWT будет затем использоваться внешним "старым" приложением, которое будет запрашивать данные у нашего API.

Моя идея - создать JWT, похожую на эту:

{
    "iss": "MyCompany",
    "iat": 1523616803,
    "exp": 1744541603,
    "aud": "myapi.com",
    "requesting-host": "external-application-host.com",
    "CustomerID": "123",
}

Таким образом, я мог бы посмотреть на входящий запрос, сравнить его с запрашивающим хостом, доступным в JWT. Если он совпадает, я знаю, что запрос поступил с действительного хоста.

Есть идеи по этому поводу? Является ли это хорошим подходом, или есть ли более эффективные подходы для блокировки API-интерфейса для конкретных запрашивающих хостов, но при этом сохранить решение как можно более простым, чтобы приложения старой школы могли использовать API-интерфейс.